วิธีแก้ AP fails to Join Cisco Catalyst 9800-CL

การเอา Access Point ที่เคยใช้งานกับ Cisco WLC รุ่นเดิมที่รันอยู่บน AirOS(เช่น 2504,3504,5520) เมื่อต้องการนำมา Join ใช้งานกับ Cisco Catalyst 9800 จะเกิดปัญหาเรื่อง Certificate (SSC : Self Signed Certificate) ที่ AP เคยใช้ในการ Join Controller บน AirOS แต่ตัว Catalyst 9800 ไม่ได้ Enable SSC มาให้ ทำให้ AP ไม่สามารถ Join ได้ แสดง Error ด้านล่าง

[*04/30/2021 06:55:49.0222] CAPWAP State: DTLS Teardown
[*04/30/2021 06:55:53.7707] No more AP manager addresses remain..
[*04/30/2021 06:55:53.7707] No valid AP manager found for controller 'C9800_WLC' (ip: 10.10.1.250)
[*04/30/2021 06:55:53.7707] Failed to join controller C9800_WLC.
[*04/30/2021 06:55:53.7707] Failed to join controller.
[*04/30/2021 06:55:53.7707] 
[*04/30/2021 06:55:53.7707] CAPWAP State: Discovery
[*04/30/2021 06:55:53.7707] Discovery Request sent to 10.0.0.249, discovery type STATIC_CONFIG(1)
[*04/30/2021 06:55:53.7807] Discovery Request sent to 10.10.1.250, discovery type STATIC_CONFIG(1)
[*04/30/2021 06:55:53.7807] IP DNS query for CISCO-CAPWAP-CONTROLLER.lap.local
[*04/30/2021 06:55:53.7807] IPv6 DNS query for CISCO-CAPWAP-CONTROLLER.lap.local
[*04/30/2021 06:55:53.8007] Discovery Request sent to 255.255.255.255, discovery type UNKNOWN(0)
[*04/30/2021 06:55:53.8007] Discovery Response from 10.10.1.250
[*04/30/2021 06:55:53.8107] Discovery Response from 10.10.1.250
[*04/30/2021 06:56:03.0000] 
[*04/30/2021 06:56:03.0000] CAPWAP State: DTLS Setup
[*04/30/2021 06:57:00.0222] dtls_disconnect: ERROR shutting down dtls connection ...

วิธีแก้มีสองวิธี

วิธีที่ 1 : เอา AP กลับไป Join AirOS Controller และ Disable Enable SSC Hash Validation (อาจจะมี Down Time นะครับ)

1. ทำผ่าน Web GUI

ไปที่ Security > Certificate > SSC และ uncheck Enable SSC Hash Validation, หลังจากนั้น click Apply

2. ทำผ่าน CLI

AirOS_WLC# config certificate ssc hash validation disable

วิธีที่ 2 : ทำการ Config manual Trustpoint ผ่าน CLI บน Catalyst 9800

C9800_WLC#wireless config vwlc-ssc key-size 2048 signature-algo sha256 password 0 cisco123

Verify

C9800_WLC#show wireless management trustpoint 
Trustpoint Name  : C9800_WLC_WLC_TP
Certificate Info : Available
Certificate Type : SSC
Certificate Hash : 3ec9c1499048b51a2c9b52d765d5e64a6f0e231c
Private key Info : Available
FIPS suitability : Not Applicable

ผลลัพธ์

AP สามารถ Join Controller และ Dowload Firmware ตัวใหม่ ได้แล้วครับ

หลังจาก Access Point Dowload Firmware เรียบร้อย ก็จะ Join เข้าไปที่ Controller ได้

References

https://community.cisco.com/t5/wireless/9800-cl-wlc-no-valid-ap-manager-found-for-controller/td-p/3985577
https://gblogs.cisco.com/ch-tech/setup-your-lab-with-catalyst-9800-cl/